Vi ser en allt snabbare förloppskedja inom cyberattacker och den som försvarar nätverk och It-struktur ges allt mindre tid att fatta beslut och åtgärda. Detta kommer i närtid att eskalera. Det påverkar direkt det strategiska säkerhetsarbetet eftersom en strategi som man inte hinner iscensätta i grunden är rätt poänglös.
Traditionellt har det hackats i det närmaste för hand med ett antal hackarverktyg som angriparen nyttjat. Det har varit en tidsödande och utdragen process i de flesta fall. Fördelen har varit att försvararen har kunnat vidta motåtgärder som ändrat förloppet och avbrutit angreppet.
Traditionellt inom it-säkerhet har vi haft relativt gott om tid att värdera incidenter, göra riskbedömning, åtgärdsplaner och agera. Även om angriparen nått viss framgång har det funnits tid att agera.
Det som nu sker är en aktiv strävan att automatisera attacker genom att första hand mekaniskt skörda sårbarheter på stor bredd och i maskinella hastigheter. Nästa steg i utvecklingen är att attackera i samma höghastighetsförlopp. Initialt kommer tekniken vara förunnad de strukturer som har råd – men precis som all annan teknik kommer det att spridas och bli tillgängligt för lågfinansierade angripare. Det gör att system kommer successivt att vara under kontinuerlig attack. Vi kan säga att det är så idag men det är en sanning med modifikation eftersom arbetet idag är i många stycken manuellt och rör delar av system under kortare perioder.
Första tanken till försvar är att sätta algoritmerna i arbete och nyttja maskininlärning. Låt attackerna bilda data som lär systemet att försvara sig. Maskininlärning erbjuder en möjlighet att lära upp systemen över tid att hantera it-attacker men är också en indirekt attackvektor eftersom intensiteten i angreppen och hur de kan riktas också kan ge en möjlighet att exploatera systemskyddet genom att helt enkelt använda reverse engineering på maskininlärningen och försämra systemskyddet.
När hastigheten och intensiteten blivit tillräcklig hög är det en stor mängd data som matar maskininlärningen på kort tid, vilket inte kan analyseras av försvaren. Risken blir då är att en driven angripare kan vända försvarsverktyg till att understödja angreppet. Om du inte vet vad som sker när algoritmer slåss i realtid har du inte i kontroll över verksamheten.
Nästa fråga är om man kan lösa problemet med den stigande hastigheten genom att i förtid göra försvarsarrangemang och ge dem befogenheter vid olika utfall. Det bygger på en rätt osäker grund, nämligen att vi klarar av att i skapandet av hotbilder och angreppsscenarier bygga upp en förståelse för vad som kommer att ske. Om vi förbereder i det närmaste automatiserade reaktioner på attacker måste precisionen i försvaret vara hög – men hur gör man det om man inte med samma noggrannhet förutsäga hur angreppet sker? Det blir ett höftskott – och i värsta fall – kan återigen vårt försvar bli till vår nackdel.
Syftet med denna artikel var att belysa problematiken med tid, eller snarare avsaknaden av tid, och att framtidens cyberangrepp kommer att ske med intensitet och hastigheter vi aldrig tidigare upplevt. Tid är abstrakt och avsaknaden av tid blir ännu mer otillgängligt som ämne men för framtiden är den en helt avgörande faktor. Var organisation får bedöma utifrån sina egna förutsättningar vad detta innebär. Det enda man inte kan göra är att undfly utvecklingen för den är redan här.
Befattning: Assistant Professor och forskare
Företag: United States Military Academy (West Point)
Expertområden: Ledarskap, it-säkerhet, strategisk it-säkerhet, framtida riskmiljöer.
Bakgrund: Arbetar med att fundera över cyber i en större kontext och hur det kommer att se ut fem-tio år från nu.
Artikelns innehåll reflekterar enbart författarens enskilda inställning och saknar koppling till dennes tjänsteställning och arbetsgivare.
